Cisco CyberOps Associate - Ocena alertów, Cyfrowa kryminalistyka oraz analiza i reagowanie na incydenty
2. Security Onion integruje różne typy danych i logi systemu wykrywania intruzów (IDS) w jedną platformę za pomocą następujących narzędzi:
- Sguil - Zapewnia on konsolę wysokiego poziomu do badania alertów bezpieczeństwa z różnorodnych źródeł. Sguil służy jako punkt wyjścia w dochodzeniu dotyczącym alertów bezpieczeństwa. Analityk cyberbezpieczeństwa ma dostęp do szerokiej gamy źródeł danych, przechodząc bezpośrednio z Sguil do innych narzędzi.
- Kibana - Kibana to interaktywny interfejs deski rozdzielczej do danych Elasticsearch. Umożliwia ona zapytania o dane NSM i zapewnia elastyczne wizualizacje tych danych. Oferuje funkcje eksploracji danych i analizy danych z wykorzystaniem uczenia maszynowego. Możliwe jest przejście bezpośrednio z Sguil do Kibany, aby zobaczyć kontekstowe wyświetlanie na podstawie adresów IP źródła i docelowego, które są powiązane z alertem. Wyszukaj w internecie i odwiedź stronę elastic.co, aby dowiedzieć się więcej o wielu funkcjach Kibany.
- Wireshark - To aplikacja do przechwytywania pakietów, która jest zintegrowana z pakietem Security Onion. Może być otwarta bezpośrednio z innych narzędzi i wyświetlać pełne przechwyty pakietów istotne dla analizy.
- Zeek - To analizator ruchu sieciowego, który służy jako monitor bezpieczeństwa. Zeek inspekcjonuje cały ruch w segmencie sieciowym i umożliwia dogłębną analizę tych danych. Przejście z Sguil do Zeek zapewnia dostęp do bardzo dokładnych logów transakcji, zawartości plików i spersonalizowanego wyjścia.
Cyfrowa kryminalistyka to odzyskiwanie i badanie informacji z urządzeń cyfrowych w kontekście działalności przestępczej. Wskaźniki kompromitacji to dowody, że miało miejsce zdarzenie cyberbezpieczeństwa. Mogą to być dane na urządzeniach pamięci masowej, w niestabilnej pamięci komputera lub ślady cyberprzestępczości zachowane w danych sieciowych, takich jak pcapy i logi. Niezbędne jest zachowanie wszystkich wskaźników kompromitacji dla przyszłej analizy i przypisania ataku.
Działalność cyberprzestępcza może mieć źródło wewnątrz lub na zewnątrz organizacji. Prywatne dochodzenia dotyczą osób wewnątrz organizacji, które mogą naruszać umowy użytkownika lub inne niekryminalne zachowania. Gdy podejrzewa się osoby o udział w przestępczej działalności związanej z kradzieżą lub niszczeniem własności intelektualnej, organizacja może zdecydować się na zaangażowanie organów ścigania, co czyni dochodzenie publicznym. Użytkownicy wewnętrzni mogą również wykorzystywać sieć organizacji do innych przestępczych działań niezwiązanych z misją organizacji, ale naruszających różne przepisy prawne. W takim przypadku dochodzenie przeprowadzają urzędnicy publiczni.
Gdy zewnętrzny napastnik wykorzystał sieć i ukradł lub zmienił dane, należy zebrać dowody dokumentujące zakres wykorzystania. Różne organy regulacyjne określają szereg działań, które organizacja musi podjąć, gdy różne typy danych zostały naruszone. Wyniki dochodzenia kryminalistycznego mogą pomóc zidentyfikować działania, które należy podjąć.
Możliwe jest, że sama organizacja może być przedmiotem dochodzenia. Analitycy cyberbezpieczeństwa mogą znaleźć się w bezpośrednim kontakcie z dowodami kryminalistycznymi, które szczegółowo opisują postępowanie członków organizacji. Analitycy muszą znać wymagania dotyczące zachowania i obsługi takich dowodów. Niezastosowanie się do nich może skutkować karnymi konsekwencjami dla organizacji, a nawet dla analityka cyberbezpieczeństwa, jeśli zostanie ustalone zamiar zniszczenia dowodów.
5. Ważne jest, aby organizacja opracowała dobrze udokumentowane procesy i procedury analizy kryminalistycznej cyfrowej. Zgodność z przepisami może wymagać tej dokumentacji, a dokumentacja ta może być sprawdzana przez władze w przypadku publicznego dochodzenia.
- Zbieranie dowodów - czyli identyfikacja potencjalnych źródeł danych kryminalistycznych oraz pozyskiwanie, obsługa i przechowywanie tych danych. Ten etap jest kluczowy, ponieważ należy zachować szczególną ostrożność, aby nie uszkodzić, nie stracić ani nie pominąć ważnych danych.
- Badanie - Obejmuje to ocenę i ekstrakcję istotnych informacji ze zebranych danych. Może to wiązać się z dekompresją lub odszyfrowaniem danych. Informacje nieistotne dla śledztwa mogą wymagać usunięcia. Identyfikacja rzeczywistych dowodów w dużych zbiorach danych może być bardzo trudna i czasochłonna.
- Analiza - obejmuje to wyciąganie wniosków z danych. Istotne cechy, takie jak osoby, miejsca, czasy, wydarzenia itp., powinny być udokumentowane. Krok ten może również obejmować korelację danych z wielu źródeł. Obejmuje to przygotowanie i prezentowanie informacji wynikających z analizy.
- Raportowanie powinno być bezstronne, a alternatywne wyjaśnienia powinny być oferowane, jeśli jest to odpowiednie. Należy uwzględnić ograniczenia analizy i napotkane problemy. Należy również przedstawić sugestie dotyczące dalszego dochodzenia i kolejnych kroków.
Dowody są klasyfikowane jako:
- Najlepszy dowód - Jest to dowód w jego oryginalnym stanie. Mogą to być urządzenia pamięci masowej używane przez oskarżonego lub archiwa plików, które można udowodnić, że są niezmienione.
- Dowód potwierdzający - Jest to dowód, który wspiera twierdzenie opracowane na podstawie najlepszego dowodu.
- Dowód pośredni - Jest to dowód, który w połączeniu z innymi faktami ustanawia hipotezę. Jest to również znane jako dowód okolicznościowy. Na przykład dowód na to, że dana osoba popełniła podobne przestępstwa, może wspierać twierdzenie, że osoba ta popełniła przestępstwo, o które jest oskarżona.
Łańcuch dowodowy obejmuje zbieranie, obsługę i bezpieczne przechowywanie dowodów. Należy prowadzić szczegółowe zapisy dotyczące:
- Kto odkrył i zebrał dowody?
- Wszystkie szczegóły dotyczące obsługi dowodów, w tym czasy, miejsca i zaangażowany personel.
- Kto ma główną odpowiedzialność za dowody, kiedy odpowiedzialność została przydzielona i kiedy zmieniła się opieka?
- Kto miał fizyczny dostęp do dowodów podczas ich przechowywania? Dostęp powinien być ograniczony tylko do najbardziej niezbędnego personelu.
Podczas zbierania danych ważne jest, aby były one zachowane w oryginalnym stanie. Należy zachować znaczniki czasowe plików. Z tego powodu oryginalne dowody powinny być skopiowane, a analiza powinna być przeprowadzana tylko na kopiach oryginału. Ma to na celu uniknięcie przypadkowej utraty lub zmiany dowodów. Ponieważ znaczniki czasowe mogą być częścią dowodu, należy unikać otwierania plików z oryginalnych nośników.
Proces używany do tworzenia kopii dowodów wykorzystywanych w dochodzeniu powinien być zapisany. W miarę możliwości kopie powinny być bezpośrednimi kopiami bitowymi oryginalnych woluminów przechowywania. Powinno być możliwe porównanie zarchiwizowanego obrazu dysku i badanego obrazu dysku, aby zidentyfikować, czy zawartość badanego dysku została naruszona. Z tego powodu ważne jest archiwizowanie i ochrona oryginalnego dysku, aby zachować go w oryginalnym, nienaruszonym stanie.
Zmienna pamięć może zawierać dowody kryminalistyczne, dlatego należy używać specjalnych narzędzi do zachowania tych dowodów przed wyłączeniem urządzenia i utratą dowodów. Użytkownicy nie powinni odłączać, wyłączać ani wyłączać zainfekowanych maszyn, chyba że zostali do tego wyraźnie zobowiązani przez personel bezpieczeństwa.
Przestrzeganie tych procesów zapewni, że wszelkie dowody na złe postępowanie zostaną zachowane, a wszelkie wskaźniki kompromitacji zostaną zidentyfikowane.
Po ocenie zakresu cyberataku oraz zebraniu i zabezpieczeniu dowodów, reakcja na incydent może przejść do identyfikacji źródła ataku. Jak wiemy, istnieje szeroki zakres sprawców zagrożeń, od niezadowolonych osób, hakerów, cyberprzestępców i gangów przestępczych, po państwa narodowe. Niektórzy przestępcy działają z wnętrza sieci, podczas gdy inni mogą być po drugiej stronie świata. Różnorodność cyberprzestępczości również się różni. Państwa narodowe mogą zatrudniać duże grupy wysoko wykwalifikowanych osób do przeprowadzenia ataku i ukrycia ich śladów, podczas gdy inni sprawcy zagrożeń mogą otwarcie chwalić się swoją działalnością przestępczą.
Atrybucja zagrożeń odnosi się do aktu określenia osoby, organizacji lub państwa odpowiedzialnego za udany incydent wtargnięcia lub ataku.
Identyfikacja odpowiedzialnych sprawców zagrożeń powinna nastąpić poprzez zasadnicze i systematyczne dochodzenie dowodów. Chociaż może być również przydatne spekulowanie co do tożsamości sprawców zagrożeń poprzez identyfikację potencjalnych motywacji dla incydentu, ważne jest, aby nie wpływało to na stronniczość dochodzenia. Na przykład przypisanie ataku konkurencyjnemu przedsiębiorstwu może odwrócić dochodzenie od możliwości, że za atakiem stoi gang przestępczy lub państwo narodowe.
W dochodzeniu opartym na dowodach, zespół reagowania na incydenty koreluje taktyki, techniki i procedury (TTP), które zostały wykorzystane w incydencie z innymi znanymi wykorzystaniami. Cyberprzestępcy, podobnie jak inni przestępcy, mają specyficzne cechy, które są wspólne dla większości ich przestępstw. Źródła wywiadu zagrożeń mogą pomóc w przypisaniu TTP zidentyfikowanych przez dochodzenie do znanych źródeł podobnych ataków. Jednak podkreśla to problem z atrybucją zagrożeń. Dowody cyberprzestępczości rzadko są bezpośrednimi dowodami. Identyfikacja wspólnych cech między TTP dla znanych i nieznanych sprawców zagrożeń jest dowodem okolicznościowym.
Niektóre aspekty zagrożenia, które mogą pomóc w atrybucji, to lokalizacja hostów lub domen pochodzenia, cechy kodu użytego w złośliwym oprogramowaniu, używane narzędzia i inne techniki. Czasami, na poziomie bezpieczeństwa narodowego, zagrożeń nie można otwarcie przypisać, ponieważ zrobienie tego ujawniłoby metody i zdolności, które muszą być chronione.
W przypadku wewnętrznych zagrożeń, zarządzanie majątkiem odgrywa główną rolę. Odkrycie urządzeń, z których został przeprowadzony atak, może bezpośrednio prowadzić do sprawcy zagrożenia. Adresy IP, adresy MAC i logi DHCP mogą pomóc w śledzeniu adresów używanych w ataku z powrotem do konkretnego urządzenia. Logi AAA są w tym względzie bardzo przydatne, ponieważ śledzą, kto uzyskał dostęp do jakich zasobów sieciowych i kiedy.
9. Jednym ze sposobów przypisania ataku jest modelowanie zachowania sprawcy zagrożenia. Taktyka MITRE Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) umożliwiają wykrywanie taktyk, technik i procedur (TTP) atakującego jako część obrony przed zagrożeniami i atrybucji ataku. Robi się to poprzez mapowanie kroków ataku na macierz uogólnionych taktyk i opisywanie technik używanych w każdej taktyce. Taktyki składają się z technicznych celów, które atakujący musi osiągnąć, aby przeprowadzić atak, a techniki to środki, za pomocą których realizowane są taktyki. Wreszcie, procedury to konkretne działania podejmowane przez sprawców zagrożeń w zidentyfikowanych technikach. Procedury to udokumentowane, rzeczywiste użycie technik przez sprawców zagrożeń.
MITRE ATT&CK to globalna baza wiedzy o zachowaniach sprawców zagrożeń. Opiera się na obserwacji i analizie rzeczywistych wykorzystań z zamiarem opisania zachowania atakującego, a nie samego ataku. Jest zaprojektowany do umożliwienia automatycznej wymiany informacji poprzez definiowanie struktur danych do wymiany informacji między jego społecznością użytkowników a MITRE.
Rysunek pokazuje analizę wykorzystania ransomware z doskonałej piaskownicy online ANY.RUN. Kolumny pokazują taktyki macierzy ataków przedsiębiorstwa, z technikami używanymi przez złośliwe oprogramowanie ułożonymi pod kolumnami. Kliknięcie techniki następnie wyświetla szczegóły procedur używanych przez konkretną instancję złośliwego oprogramowania z definicją, wyjaśnieniem i przykładami techniki.
10. Cyber Kill Chain został opracowany przez Lockheed Martin w celu identyfikacji i zapobiegania cybernetycznym wtargnięciom. Istnieje siedem kroków Cyber Kill Chain. Skupienie się na tych krokach pomaga analitykom zrozumieć techniki, narzędzia i procedury sprawców zagrożeń. Podczas reagowania na incydent bezpieczeństwa celem jest wykrycie i zatrzymanie ataku jak najwcześniej w postępie łańcucha zabójstw. Im wcześniej atak zostanie zatrzymany, tym mniejsze są szkody i tym mniej atakujący dowiaduje się o sieci docelowej.
Cyber Kill Chain określa, co atakujący musi zakończyć, aby osiągnąć swój cel.
Rozpoznanie to etap, w którym sprawca zagrożenia przeprowadza badania, zbiera informacje wywiadowcze i wybiera cele. Pozwala to sprawcy ocenić, czy atak jest wart przeprowadzenia. Jakiekolwiek publiczne informacje mogą pomóc określić co, gdzie i jak ma być przeprowadzony atak. Jest wiele publicznie dostępnych informacji, szczególnie dla większych organizacji, w tym artykuły prasowe, strony internetowe, materiały konferencyjne i urządzenia sieciowe skierowane do publiczności. Coraz więcej informacji na temat pracowników jest dostępnych za pośrednictwem mediów społecznościowych.
Sprawca zagrożeń wybierze cele, które zostały zaniedbane lub niezabezpieczone, ponieważ będą one miały większe prawdopodobieństwo penetracji i kompromitacji. Wszystkie informacje uzyskane przez sprawcę są przeglądane w celu określenia ich znaczenia i ewentualnych dodatkowych możliwości ataku.
Taktyki i obrony używane podczas etapu rozpoznania:
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Planowanie i przeprowadzanie badań: | Odkrycie zamiarów przeciwnika: |
| - Zbieranie adresów e-mail | - Alerty dzienników sieciowych i historyczne dane wyszukiwania |
| - Identyfikacja pracowników w mediach społecznościowych | - Analiza danych przeglądarki |
| - Zbieranie wszystkich informacji o relacjach publicznych (komunikaty prasowe, nagrody, uczestnicy konferencji itp.) | - Budowanie playbooków do wykrywania zachowań wskazujących na działalność rozpoznawczą |
| - Odkrywanie serwerów zwróconych do Internetu | - Priorytetowa obrona wokół technologii i osób, które są celem działalności rozpoznawczej |
| - Przeprowadzanie skanów sieci w celu identyfikacji adresów IP i otwartych portów. |
11. Celem tego kroku jest wykorzystanie informacji z etapu rozpoznania do opracowania broni przeciwko konkretnym systemom lub osobom w organizacji. Aby opracować tę broń, projektant wykorzysta odkryte podatności aktywów i zbuduje z nich narzędzie, które można wdrożyć. Po użyciu narzędzia oczekuje się, że sprawca zagrożenia osiągnął swój cel, uzyskując dostęp do systemu lub sieci docelowej, pogarszając stan zdrowia celu lub całej sieci. Sprawca zagrożenia będzie dalej badać bezpieczeństwo sieci i aktywów, aby ujawnić dodatkowe słabości, przejąć kontrolę nad innymi aktywami lub wdrożyć dodatkowe ataki.
Nie jest trudno wybrać broń do ataku. Sprawca zagrożenia musi przyjrzeć się, jakie ataki są dostępne dla odkrytych przez nich podatności. Istnieje wiele ataków, które zostały już stworzone i przetestowane na dużą skalę. Problemem jest to, że ponieważ te ataki są tak dobrze znane, najprawdopodobniej są również znane obrońcom. Często skuteczniejsze jest użycie ataku zero-day, aby uniknąć metod wykrywania. Atak zero-day wykorzystuje broń nieznaną obrońcom i systemom bezpieczeństwa sieci. Sprawca zagrożenia może chcieć opracować własną broń, która jest specjalnie zaprojektowana, aby uniknąć wykrycia, wykorzystując informacje o sieci i systemach, które poznał. Napastnicy nauczyli się tworzyć liczne warianty swoich ataków, aby unikać obrony sieciowej.
Taktyki i obrony używane podczas etapu uzbrojenia.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Przygotowanie i organizacja operacji: | Wykrywanie i zbieranie artefaktów uzbrojenia: |
| - Uzyskanie zautomatyzowanego narzędzia do dostarczania ładunku złośliwego oprogramowania (weaponizer). | - Upewnienie się, że reguły i sygnatury IDS są aktualne. |
| - Wybór lub stworzenie dokumentu do zaprezentowania ofierze. | - Przeprowadzenie pełnej analizy złośliwego oprogramowania. |
| - Wybór lub stworzenie tylnych drzwi i infrastruktury dowodzenia i kontroli. | - Budowanie wykryć dla zachowania znanych weaponizerów. |
| - Czy złośliwe oprogramowanie jest stare, „z półki” czy nowe, co może wskazywać na dostosowany atak? | |
| - Zbieranie plików i metadanych do przyszłej analizy. | |
| - Określenie, które artefakty weaponizera są wspólne dla których kampanii. |
Taktyki i obrony używane podczas etapu dostarczania.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Uruchomienie złośliwego oprogramowania na cel: | Blokowanie dostarczania złośliwego oprogramowania: |
| - Bezpośrednio przeciwko serwerom internetowym | - Analiza ścieżki infrastruktury używanej do dostarczania. |
| - Pośrednie dostarczenie poprzez: | - Zrozumienie atakowanych serwerów, osób i dostępnych danych do ataku. |
| - Złośliwy e-mail | - Wnioskowanie o zamiarach przeciwnika na podstawie celowania. |
| - Złośliwe oprogramowanie na pendrive’ie | - Zbieranie logów e-mailowych i internetowych do rekonstrukcji kryminalistycznej. |
| - Interakcje w mediach społecznościowych | |
| - Skompromitowane strony internetowe |
13. Po dostarczeniu broni, sprawca zagrożenia używa jej do wykorzystania podatności i przejęcia kontroli nad celem. Najczęstszymi celami ataków są aplikacje, podatności systemu operacyjnego i użytkownicy. Napastnik musi użyć exploita, który osiągnie pożądany efekt. Jest to bardzo ważne, ponieważ jeśli zostanie przeprowadzony niewłaściwy exploit, oczywiście atak nie zadziała, ale niezamierzone skutki uboczne, takie jak DoS lub wielokrotne restarty systemu, spowodują niepotrzebną uwagę, która może łatwo poinformować analityków cyberbezpieczeństwa o ataku i zamiarach sprawcy zagrożeń.
Poniższa tabela podsumowuje niektóre taktyki i obrony używane podczas etapu wykorzystania.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Wykorzystanie podatności do uzyskania dostępu: | -Szkolenie pracowników z zakresu świadomości bezpieczeństwa i okresowe testowanie e-maili: |
| - Wykorzystanie podatności oprogramowania, sprzętu lub człowieka | - Szkolenie programistów internetowych w zakresie zabezpieczania kodu |
| - Pozyskanie lub opracowanie exploita | - Regularne skanowanie podatności i testy penetracyjne |
| - Użycie exploita wyzwalanego przez przeciwnika dla podatności serwera | - Środki zabezpieczające punkty końcowe |
| - Użycie exploita wyzwalanego przez ofiarę, takiego jak otwarcie załącznika e-mailowego lub złośliwego linku | - Audyt punktów końcowych w celu kryminalistycznego ustalenia pochodzenia exploita |
Poniższa tabela podsumowuje niektóre taktyki i obrony używane podczas etapu instalacji.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Instalacja trwałych tylnych drzwi: | Wykrywaj, rejestruj i analizuj aktywność instalacyjną: |
| - Instalacja webshell na serwerze internetowym dla trwałego dostępu. | - HIPS do alarmowania lub blokowania na wspólnych ścieżkach instalacji. |
| - Utworzenie punktu trwałości poprzez dodawanie usług, kluczy AutoRun itp. | - Określenie, czy złośliwe oprogramowanie wymaga uprawnień administratora lub użytkownika |
| - Niektórzy przeciwnicy modyfikują znacznik czasowy złośliwego oprogramowania, aby wyglądało ono jak część systemu operacyjnego. | - Audyt punktów końcowych w celu odkrycia nietypowego tworzenia plików. |
| - Określenie, czy złośliwe oprogramowanie jest znanym zagrożeniem czy nowym wariantem. |
Poniższa tabela podsumowuje niektóre taktyki i obrony używane podczas etapu dowodzenia i kontroli.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Otwarcie kanału do manipulacji celem: | Ostatnia szansa na zablokowanie operacji: |
| - Otwarcie dwukierunkowego kanału komunikacyjnego do infrastruktury CNC | - Badanie możliwych nowych infrastruktur CnC |
| - Najczęstsze kanały CNC przez protokoły internetowe, DNS i e-mail | - Odkrywanie infrastruktury CnC poprzez analizę złośliwego oprogramowania |
| - Infrastruktura CnC może być własnością przeciwnika lub inną siecią ofiary | - Izolacja ruchu DNS do podejrzanych serwerów DNS, szczególnie Dynamic DNS |
| Ostatnia szansa na zablokowanie operacji: | - Zapobieganie wpływowi poprzez blokowanie lub wyłączanie kanału CnC |
| - Konsolidacja liczby punktów obecności w internecie | |
| - Dostosowanie reguł blokowania protokołów CnC na serwerach proxy |
Poniższa tabela podsumowuje niektóre taktyki i obrony używane podczas etapu działań na celach.
| Taktyki Przeciwnika | Obrona SOC |
|---|---|
| Czerpanie korzyści z udanego ataku: | Wykrywanie za pomocą dowodów kryminalistycznych: |
| - Zbieranie poświadczeń użytkowników | - Ustanowienie podręcznika reagowania na incydenty |
| - Eskalacja uprawnień | - Wykrywanie wycieku danych, ruchu bocznego i nieautoryzowanego użycia poświadczeń |
| - Wewnętrzne rozpoznanie | - Natychmiastowa reakcja analityka na wszystkie alerty |
| - Ruch boczny przez środowisko | - Kryminalistyczna analiza punktów końcowych dla szybkiej segregacji |
| - Zbieranie i wydobywanie danych | - Przechwytywanie pakietów sieciowych do odtworzenia aktywności |
| - Niszczenie systemów | - Przeprowadzenie oceny szkód |
| - Nadpisywanie, modyfikowanie lub uszkadzanie danych |
Cztery podstawowe cechy zdarzenia intruzji to przeciwnik, zdolność, infrastruktura i ofiara:
- Przeciwnik - To strony odpowiedzialne za intruzję.
- Zdolność - To narzędzie lub technika, której przeciwnik używa do ataku na ofiarę.
- Infrastruktura - To ścieżka lub ścieżki sieciowe, których przeciwnicy używają do ustanowienia i utrzymania dowodzenia i kontroli nad swoimi zdolnościami.
- Ofiara - To cel ataku. Jednak ofiara może być początkowo celem, a następnie użyta jako część infrastruktury do uruchomienia innych ataków.
Przeciwnik wykorzystuje zdolności poprzez infrastrukturę do ataku na ofiarę. Model można interpretować, mówiąc: „Przeciwnik używa infrastruktury do połączenia się z ofiarą. Przeciwnik rozwija zdolność do wykorzystania ofiary”. Na przykład zdolność, jaką jest złośliwe oprogramowanie, może być wykorzystana przez przeciwnika poprzez infrastrukturę e-mailową do wykorzystania ofiary.
Meta-cechy nieco rozszerzają model, aby uwzględnić następujące ważne elementy:
- Znacznik czasowy - Wskazuje czas rozpoczęcia i zakończenia zdarzenia i jest integralną częścią grupowania działalności złośliwej.
- Faza - Jest to analogiczne do kroków w Cyber Kill Chain; działalność złośliwa obejmuje dwa lub więcej kroków wykonanych kolejno w celu osiągnięcia pożądanego rezultatu.
- Rezultat - Określa, co przeciwnik zyskał z zdarzenia. Wyniki mogą być udokumentowane jako jedno lub więcej z następujących: naruszenie poufności, naruszenie integralności i naruszenie dostępności.
- Kierunek - Wskazuje kierunek zdarzenia w Modelu Diamentowym. Obejmują one Przeciwnik-do-Infrastruktury, Infrastruktura-do-Ofiary, Ofiara-do-Infrastruktury i Infrastruktura-do-Przeciwnika.
- Metodologia - Służy do klasyfikacji ogólnego typu zdarzenia, takiego jak skanowanie portów, phishing, atak dostarczania treści, powódź syn, itp.
- Zasoby - To jedno lub więcej zewnętrznych zasobów wykorzystywanych przez przeciwnika do zdarzenia intruzji, takich jak oprogramowanie, wiedza przeciwnika, informacje (np. nazwa użytkownika/hasła) i aktywa do przeprowadzenia ataku (sprzęt, fundusze, obiekty, dostęp do sieci).
